Мы продолжаем нашу ежемесячную рубрику новостей из мира ИБ.
Что нового в законах и НПА?В прошедшем месяце законодатели уделяли много внимания проблемам ИБ.
Профессиональный стандарт для специалистов ИБ начал действоватьВ сентябре текущего года вступил в действие . Это стандарт для специалистов ИБ, работающих в финансовой и кредитной сферах (КФС). В стандарте описаны основные обязанности специалистов, в том числе:
организация и контроль процессов, обеспечивающих ИБ;
контроль киберустойчивости компании;
обеспечение поддержки процессов в сфере ИБ компании (методология);
участие в деятельности, направленной на управление рисками в сфере ИБ;
участие в управлении ИБ-инцидентами.
Специалист должен обеспечивать информационную безопасность. От него зависит, насколько корректно будут функционировать средства и системы защиты информации.
Из госреестра исключен ряд СЗИпретерпел ряд изменений. В частности, из него был исключен ряд средств в связи с несоответствием требованиям защиты информации и отсутствием технической поддержки. С 01.06.2024 года эти средства защиты не допускаются к использованию.
Также 08.09.2023 был отозван сертификат у антивируса Dr.Web, после чего в реестре остались только 2 производителя такого вида ПО - «Лаборатория Касперского» и «Код Безопасности», что противоречило требованию применения решений трех разработчиков. Позднее сертификат был восстановлен, о чем компания получила официальное уведомление.
С полным перечнем исключенных СЗИ можно ознакомиться в .
ФСТЭК опубликовал ряд приказов, регламентирующих сферу ИБВ начале сентября было осуществлено опубликование ряда ранее принятых приказов ФСТЭК, в том числе:
– документ регламентирует лицензионный контроль в сфере защиты конфиденциальных данных (в частности, речь идет о том, как ФСТЭК в пределах своей компетенции будет контролировать организации, которые разрабатывают и производят СЗКИ);
– также регламентирует лицензионный контроль со стороны ФСТЭК, но уже в контексте технической защиты.
Положения этих НПА будут применяться до конца декабря 2024 года.
Начато обсуждение проекта приказа об обезличивании ПДн в медицинской сферепредставил Минздрав РФ. Он будет распространяться на обезличивание ПДн в сфере обращения лекарств. Общественное обсуждение документа проводится до 01.10.2023 включительно. Планируется, что документ вступит в действие уже 01.12.2023 г.
«Цифровой паспорт» становится реальностьюГраждане РФ смогут удостоверять свою личность без использования «бумажных документов» - достаточно будет использовать мобильное приложение Госуслуг. подписал Президент страны.
Документ обязывает Минцифры вести реестр юр.лиц, которые смогут получать и / или проверять данные, которые граждане будут предоставлять посредством мобильного приложения. При этом Правительство страны должно в трехмесячный срок разработать и задокументировать ряд процессов.
Использование приложения – добровольное. Планируется, что начать использовать его, чтобы удостоверить свою личность, граждане России смогут уже с декабря текущего года.
Минцифры установит требования в сфере ИБ для провайдеровПроект соответствующего прошел стадию общественного обсуждения. Документ обязывает провайдеров хостингов:
в обязательном порядке использовать NTP-серверы, размещенные в России, а также DNS-серверы Национальной системы доменных имен;
принимать все необходимые меры, чтобы обнаруживать и предотвращать вторжения;
взаимодействовать с ГосСОПКА, в том числе своевременно информировать об инцидентах в сфере ИБ;
назначить ответственного за ИБ (это может быть как отдельный сотрудник, так и целое структурное подразделение в составе организации).
Ожидается, что документ начнет действовать 01.12.2023 г.
Центробанк обяжет НФО повысить уровень защиты данных18.09.2023 года завершилось обсуждение Центробанка России. Предполагается, что документ внесет ряд изменений .
На некредитные финансовые организации возложат ряд дополнительных обязанностей, в том числе:
обеспечивать целостность электронной переписки (в частности, отдельных сообщений);
обеспечивать уровень доверия не ниже ОУД 4 для ПО, которое предоставляется клиентам или используется для обработки конфиденциальной информации, полученной посредством глобальной сети (для этого НФО обяжут сертифицировать ПО или проводить оценку его соответствия);
тестировать объекты информационной инфраструктуры на проникновение не реже 1 раза в год;
обеспечивать защиту информации в соответствии с требованиями .
Кроме того, область действия Положения будут включены МФО.
Положение о ЕБС изменится с Нового годаВ соответствии с к функционалу операторов ЕБС в части управления согласиями на обработку ПДн и их отзывами будут предъявляться дополнительные требования. Для осуществления этих процессов будет использоваться специальная подсистема ЕБС.
№152-ФЗ пересмотрят до конца 2023 годаПрезидент РФ дал соответствующее поручение. В частности, в число изменений должны войти следующие:
включить процедуру уничтожения ПДн в состав мер, направленных на обеспечение их безопасности. Уничтожать данные будет необходимо при помощи специального ПО.
обеспечить возможность указания нескольких целей в согласии на обработку ПДн. При этом для каждой из целей перечень данных и условия обработки должны быть обозначены отдельно;
предусмотреть возможность указывать в согласии на обработку ПДн иные идентификаторы, помимо Ф.И.О. Идентификатор может быть предусмотрен законом или соглашением между оператором и субъектом. Одно из основных требований – возможность однозначной идентификации субъекта.
Закон о внесении вышеуказанных изменений планируют принять не позднее 15 декабря текущего года.
Крупные кибератаки в сентябре
В сентябре было зафиксировано не менее 5 заметных и, к сожалению, успешных кибератак. В частности, под удар попали:
– система бронирования авиабилетов. DDoS-атака привела к сбою в бронировании и регистрации на рейсы.
- была взломана база данных с информацией о пассажирах авиакомпаний за период 2007-2023 годы. Всего около 4 миллиардов записей. Ответственность за атаку взяла на себя хакерская группировка Muppets.
– утечка данных из базы пользователей. В распоряжении злоумышленников оказалось более 20 миллионов строк с ИНН, паспортными данными, частичными номерами карт клиентов банка.
- партнер Яндекс Go и Uber допустил слив 430 тысяч записей с указанием паспортных данных и номеров банковских карт клиентов, данные актуальны на март 2023 года.
Количеств и масштабы утечек данных в России выглядят весьма пессимистично. Надеемся, что ответственное отношение к защите информации будет внедряться во всех организациях, работающих с конфиденциальной информацией, а киберпреступникам будет не так просто проводить успешные атаки.
